ノンユーザをクッキーで追跡しているFacebookがベルギーで毎日26万8000ドルを払う罰金刑に直面

facebook-thumbs-down

【抄訳】
データ保護をめぐるベルギーの裁判で、Facebookは、クッキーの保存に関する方針を変えないかぎり毎日25万ユーロの罰金を払うことになった。Facebookは控訴中だ。

事の発端は、ベルギーのデータ保護監視当局(DPA)が6月にFacebookに対する行政訴訟を起こしたことにある。その前に同政府機関は、今年の初めFacebookのプライバシーポリシーが変更された直後に、データ保護に関するFacebookのやり方を強く批判する報告書を発表していた。

具体的な訴件は: FacebookがサードパーティのWebサイトでクッキーの保存とソーシャルプラグイン(Likeボタンなど)を展開して、ユーザとFacebookのユーザでない者のインターネット上の活動を追跡するやり方(の違法性)だ。起訴の時点でベルギーのDPAは、ノンユーザの追跡方法と集めたデータをどうしているか、に関する質問にFacebookが答えなかったことを、起訴に踏み切った理由として挙げている。また同機関がこの訴訟を起こしたことに対する適法性の判断も、裁判所に求めている。

被告のFacebook側は、ベルギーのプライバシー機関には同社のヨーロッパにおける事業を告訴する法的資格がない、と主張した(Facebookのヨーロッパ本社はアイルランドにあるから)。しかし裁判所は、この主張を退け、問題がベルギー国民にも関わる以上ベルギーのデータ保護法が適用され、ベルギーの裁判所に裁判権がある、とした。

さらに重要なのは、ブラッセルの裁判所による裁定がEUの最高裁であるECJの画期的な判決と、軌を一にしていることだ。ECJはGoogle Spainが関与したいわゆる忘れられる権利について裁定し、もっと最近の判決ではハンガリーのデータ保護当局に対し、ハンガリーにもサービスを提供しているスロバキアのWebサイトに対する罰金の賦課を認めた。共通する原則は、従来の古典的な裁判の原則であった“居住国限定主義”を無視し、むしろ、インターネットサービスの本質である、不定形な広域性(被害〜被害可能性の及ぶ範囲が一国に限定されない)に着目していることだ。

Facebookは、クッキーの保存をユーザのための重要なセキュリティ手段(ユーザの本物性を確認できる)だ、と主張しているが、ノンユーザのデータまで集めていることに関しては、今のところコメントがない。裁判所は、重要なセキュリティ手段、という理由付けにも、同意していない。

【後略】

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

忘れられる権利の適用をヨーロッパのサブドメインだけでなくgoogle.com本体にも、とEU規制当局が求める

【抄訳】

Googleはそれを蹴った。会長Eric Schmidtも先月、公衆の門前でそいつを蹴り上げた。しかしEUの規制当局は、そのいわゆる“忘れられる権利(right to be forgotten, RTBF)”の規則が、Google.co.ukのようなヨーロッパのサブドメインだけでなく、Google.comにも適用されることを求めている。

それをしないと、Google.co.ukでだめならGoogle.comをトライすることが、誰でも容易にできてしまうからだ。特定個人のスキャンダル等をGoogle.comで見つけて、それがGoogle.co.ukでは出ないことを知るのも、簡単だ。

‘忘れられる権利’という奇妙な名前で呼ばれているものの実体は、(公人以外の)個人に関する不正確で古くて今の当人とは関係のない情報が、その人の名前で検索をしたときに、いかなる検索エンジンでも検索結果として出現しないことを求める、個人の権利のことだ。情報をインターネット上から消すリクエスト、という報道が一部為されているが、それは誤りだ。またEUのこの規則の適用対象はGoogleだけでなない。しかしヨーロッパでも検索におけるGoogleのシェアは90%もあるから、Googleが標的になることが圧倒的に多い。

規則が今年の5月に公布されてからほぼ半年になるが、その間にGoogleが受け取った情報隠蔽リクエストは17万5000件、URLの数では60万を超えている。これらの中でGoogleが隠蔽化したのはリクエストの半分以下(41.5%)、URL数では20万8500だ。

RTBF規則の根拠となる上位法は、EUのデータ保護法であり、インターネットの検索エンジンもその法を守る義務がある、とされている。個人の保護を目的とするが公人はその保護の対象外となるこのルールには、曖昧性や難しい問題が入り込む可能性が多々ある。これまでのGoogleのやり方については、この文書が参考になるだろう。

【後略】

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


ヨーロッパ人の検索結果削除リクエストのためにGoogleが入力フォームページを立ちあげ

EUに住んで、自分に関する古い不適切な情報を検索結果から消してもらいたい、とあなたなら思う? Googleはこのほど、ヨーロッパに住んでいて、自分に関する、自分に削除する権利があると思える情報をGoogleがインデクスした、と信ずる者からの削除リクエストを受け付ける仕組みを実装した。

今朝(米国時間5/30)からあるその、ユーザがデータの削除をリクエストするための入力フォームページは、今月初めにヨーロッパ司法裁判所が下した、Googleは“忘れられる権利”を尊重すべし、という裁定に従うものだ。裁定は、個人からのリクエストに応じてGoogleは、個人データの処理に関するEUのプライバシー指針に違反している“不適切で”古い情報を削除すべし、と言っている。

この裁定は、自分の名前と資産喪失に関する検索結果を検索エンジンから削除したいという、あるスペイン人の訴えが契機となって下(くだ)された。

今月初めには、司法裁判所の裁定に続いて、Googleには検索コンテンツの削除リクエストがいくつか寄せられていることが明らかになった。ただしそこに挙げられていた例は、古典的な三大醜聞ネタともいうべき、再選を目指す元政治家がオフィスにおけるお行儀の悪い行為を報じた記事のリンクの削除を求める; 医師が患者からのネガティブなリビューの消去を求める; 有罪となった児童性愛者が児童虐待写真を保有していたとする判決文の取り下げを求める、といったものだった。

それらは、司法裁判所の裁定の社会的評価を下げるために、Googleが意図的に放ったリークか、とも思われた。

たしかにその裁定は、議論を招(よ)んでいる。とりわけ、Open Rights GroupやWikipediaのJimmy Walesなど、言論と表現の自由を主張する人びとからの反論が多かった。

Walesはそれを、“滑稽”で“異様”と形容し、これでは今後ほとんどの新聞記事が検索にかからなくなる、と指摘した。あるいは、ヨーロッパでは、名もないマイナーな検索エンジンだけが、Googleなどの大手検索エンジンで見つからない情報を表示するかもしれない。裁定に対する批判が示唆しているものは、ヨーロッパではとっくに姿を消したと思われている、検閲という名の悪霊の復活だ。

議論のもう一方の側には、個人のプライバシー権利が座っている。こちらはこのところ、ネットビジネスの繁盛のために大量のユーザデータを収集し利用する企業から、足蹴にされる機会が多くなっている。

昨今の高度に発達した情報技術とそのツールは、データを自動的かつ機械的にふるいにかけるだけなので、人間だけから成る社会では自然に過去という名の背景に溶け込み、消え去ってしまうような情報、たとえば昔々の新聞記事なども、必要以上の長期にわたって公共の目にさらされてしまう。‘忘れられる権利’というおかしな言葉が生まれたのも、このような状況からだ。

裁判所は今のところ、後者の側についている。しかも裁定には即時の強制力があるので、この裁定を根拠に今後為されるリクエストに対応する処理を、Googleは迅速に実装しなければならない。

Googleによると、同社はすでにそういうリクエストを“数千件”受け取っているそうだから、ヨーロッパ人のあいだにGoogleの検索履歴を自分でエディットしたい、という願望があることも事実だ。

裁定に対するGoogleのコンプライアンスは、EUのユーザがEuropean Data Protection Lawに基づいて削除する権利が自分にあると思われる情報を詳細に指定するための、フォームページとして実装されている。

そのフォームには、リクエストの適法性はGoogleが判断する、と書かれている:

この決定の実装においては、弊社が個々のリクエストを評価し、個人のプライバシー権利と、情報の接受と配布にかかわる公共の権利の均衡に努めるものとする。リクエストの評価において弊社は、情報の時代的な古さと、情報に対する公共的関心の有無を独自に判断する。この検討の対象となる情報は、たとえば、金融詐欺、専門的職業人が犯した過失、犯罪に対する有罪判決、公務員の不正な公的行為、などである。

Googleは、上の‘公共的関心の有無’という言葉にも見られるように、裁定に逆らう面も見せている。すなわち、詐欺や過失、公務員の不正行為の記事などは、古い情報であっても、必要があれば見られるという状態の方が適切である、とGoogleは主張しているのだ。

しかしこのような評価はとても難しいから、今後情報取り去りリクエストが増えれば、Googleにとって、手に負えない作業になる可能性もある。おそらく、処理の一部は自動化せざるをえない、と思われる。

なお、情報の削除をリクエストする者は、運転免許証や国民番号証などによって本人性を証明する必要がある。

また、本人の本人性を公的に代理する機関、たとえば本人との正式の契約のある弁護士事務所などが、検索結果からの情報の取り去りをリクエストすることもできる。顧客の某氏のために検索履歴を仔細に調べて、複数の、必要十分な数だけの、削除リクエストをGoogleに提出することが、法律事務所などの手頃な副収入源になってしまうかもしれない。

Googleは本誌TechCrunch宛のメールで、同社はヨーロッパ各国のデータ保護当局と密接に協働していくことのほかに、専門家集団によるGoogle独自の諮問委員会を立ちあげて、評価判断過程の適正化を図る、と言っている。おぉ、これまた、プライバシー専門の弁護士たちの、格好の副収入源になるね。

この件について、Googleは次のように述べている:

“ヨーロッパの裁判所の最近の裁定に従うために弊社は、弊社の検索エンジンからの結果の削除をリクエストするヨーロッパ人のためのフォームページを提供する。裁判所の裁定によりGoogleは、個人の忘れられる権利と公共の知る権利に関して、難しい判断をしなければならない。弊社は専門家による諮問委員会を作って、これらの問題を綿密に検討していきたい。またこの裁定の実装にあたっては、各国のデータ保護当局等とも協働していく”。

アップデート: Googleは、諮問委員会の当面のメンバーの氏名を公表した:

  • Frank La Rue (意見と発言の自由に対する権利の普及と保護に関わる国連特別報告人)
  • Peggy Valcke (University of Leuvenロースクール理事)
  • Jose Luis Piñar (元スペインのDPA, 現在は教授職)
  • Jimmy Wales (Wikipedia)
  • Luciano Floridi (Oxford Internet Instituteで情報倫理哲学を担当)

このメンバーは全員、Googleが選出した人たちなので、かなり‘Google好み’であるかもしれない。

Twitter上には、こんな皮肉っぽい批判も:

[このメンバーは一見多彩だけど、裁判所が言ってる‘均衡’にはあまり配慮してないようね。]

アップデート2: ヨーロッパ司法裁判所の裁定に対するGoogleの今回のコンプライアンスは、データ保護法自体は1995年からあることを考えると遅すぎる、とECの部長Viviane Redingがコメントしている:

“Googleがやっとヨーロッパの法律を尊重するために必要な措置をとったことは、良い展開である。ヨーロッパのデータ保護法は1995年から存在しているから、やっとという形容がふさわしい。Googleにそれをわからせるために、ヨーロッパ司法裁判所の出番が必要だった。忘れられる権利と自由な情報の権利は敵同士ではなく友だちである”。

“この動きは、それまでの実践不可能というおそれが、根拠のないものであったことを示している”。

データの保護は未来のビジネスモデルである。

— Viviane Reding

[pullquote author="Viviane Reding"]Data protection is the business model of the future.[/pullquote]

“法律は、表現の自由とデータの保護とのあいだで正しい均衡を図るためにある”。

“どちらかを優先して他方を犠牲にするのではなく、両方を立てるための正しい均衡が重要である。ヨーロッパ司法裁判所は、二つの権利が矛盾・衝突しないことを明らかにし、その均衡の見つけ方と、忘れられる権利の限界が那辺にあるかを、明確に指示した。また裁判所は、ジャーナリストの仕事はそのまま保護すべきであることも、明らかにした”。

“真のデータ保護を社会に提供していくことに、今後のスタートアップの強力で革新的なビジネス機会がある。法律による保護や、データに関して消費者の力を強くしていくことに、安定的な売上と利益の機会がある。データの保護は未来のビジネスモデルである。この機会をつかもうとする企業の前には、広大なビジネスの未来が開けている”。

[Image by Nana B Agyei; Flickr]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


オランダの司法当局がGoogleのユーザデータの使い方はプライバシーの法律に違反している, と指摘

2012年に発表された、ユーザのデータを同社のすべてのサービスで利用するというGoogleの新方針は、オランダではプライバシー侵犯であり違法だ、とオランダ政府のデータ保護局(Data Protection Authority, DPA)が声明した。DPAが発行したプレスリリースは、“ユーザのどんな個人データを集めて、一緒にして、どんな目的に利用しているかを、Googleはユーザに正しく知らせていない”、と述べている。

DPAはGoogleが明らかに違法とは言っているが、Googleに対する罰則の適用や、矯正命令などにはまだ踏みきっていない。しかし同局の声明によると、ユーザのデータを収集する件に関して、ユーザの許可を求めるGoogleの今のやり方では不十分だ、という。つまり、一般的なプライバシー方針が一つだけあるとか、サービス約定のドキュメントがあるだけでは十分ではない。“インターネットの上ではGoogleのサービスを利用しないことはほとんど不可能”であるだけに、なおさらである、とDPAは言っている。

しかしComputerworldが入手したメールによる声明文によると、一国の法に明らかに違反しているとされたGoogleは、当局のその主張は無効だ、と言っている。Googleによると、同社は今オランダのDPAと話し合いを続けており、共同でこの問題を解決していきたい、という。その話し合いの次のステップは、DPAが考えている修正方式や懲罰方式について、Googleが聞く番だ。

Googleのプライバシーポリシーの変更が、ユーザを苛立たせたことは間違いないし、一部の政府機関が問題として取り上げたことも事実だ。先日は、ユーザがオプトアウトしなければGoogle+の画像を広告で使う、と発表された。このような具体的な変更や新しいやり方は、今後もいろいろあるだろう。今回のオランダ当局の矯正アクションが、今後のGoogleのユーザデータの集め方や使い方に良い効果を及ぼすことを期待したいが、しかしそれは、空しい期待に終わってしまう可能性もあるね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))